1、卡巴斯基今天最新病毒库查不到这只木马。此马植入系统后，释放下列文件：
C:\WINDOWS\system32\mssync.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF159C.tmp
其中C:\WINDOWS\system32\mssync.exe的版本信息假冒微软程序（但冒充的不太像；图1）。
2、系统启动后，mssync.exe启动ADSL虚拟拨号，试图连接网络（图2）。
3、木马进程mssync.exe为隐藏进程，但用IceSword可以看到（图3）；WINDOWS进程管理器和SSM的进程列表中均见不到mssync.exe进程。
4、mssync.exe进程监控其注册表启动项，每隔几秒就重写一次。

5、SREng日志可见启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><C:\WINDOWS\system32\mssync.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mssync><C:\WINDOWS\system32\mssync.exe>  [Microsoft Corporation]
6、HijackThis v1.99.1日志可见启动项：
F3 - REG:win.ini: load=C:\WINDOWS\system32\mssync.exe
O4 - HKLM\..\Run: [mssync] C:\WINDOWS\system32\mssync.exe

7、手工查杀方法：
（1）用IceSword找到木马进程mssync.exe——结束之。
（2）删除木马文件：
C:\WINDOWS\system32\mssync.exe
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF159C.tmp
（3）删除木马添加的启动项。

图1

图2

图3